博客家

ChartCenterに执掌图表のセキュリティ軽減メモ(缓解音符)を追加する

通过深度达塔

5分钟阅读

今年の初めにChartCenterを立上げました。これはKubernetes開発者が舵图を見けるための最新のコミュニティプラットフォ,ムです。この新しい無料のHelmセントラルリポジトリは图表の不変性を念頭に置いて構築されました。つまり,元のソースがダウンしても,执掌图表のすべてのバージョンとChartCenter内のすべてのバージョンが常に利用できるということです。HelmHubが非推奨になったことで,不変性は特に重要になりました。图表とそのバ,ジョンは多くが,ChartCenter上に存在し続けており,各バ,ジョンにはHelm Chartの依存関係,アプリケーションのバージョン,执掌のバージョン,他の图表がこのバージョンを使用している数など,豊富なメタデータが含まれています。

ChartCenterの最大の特徴は無料で見られる脆弱性の情報です。すべての图表のバジョンにいてJFrog x射线を使用して脆弱性をスキャンし,cvss 2の評価を使用して,高,中,低,未知いずれかのcveスコアを算出します。

ChartCenterで明らかになる脆弱性

CVE(常见漏洞和暴露)リストは国土安全保障省(DHS)の网络安全与信息保障办公室(OCSIA)が主催する,報告された脆弱性の公開リストです。多くのサ▪▪バ▪▪セキュリティ企業は組織が自社の問題を明確に理解できるように,cveやそれ以外の独自デ,タベ,スを使用しています。CVEは特定の脆弱性やエクスポージャー(システム上の攻撃可能な不備など)に対する標準化された識別子を作成することで,組織間で既知の脆弱性に関する情報共有を容易にできます。CVEにより,組織はセキュリティツールの適用範囲を評価するためのベースラインを設定することができます。CVEの共通識別子は各ツールが何をカバーしていて,そのツールが組織にとってどの程度適切なのかを確認することができます。

各图ページのセキュリティタブに移動すると,ユーザーはCVE ID,概要,コンポーネントおよび問題があるイメージといった脆弱性の詳細を確認することができます。

ChartCenter漏洞信息

缓解笔记

私たちがこのセキュリティ機能をテストしている間に,様々なコミュニティメンバーから得たフィードバックがあります。脆弱性の多くは图表のメンテナーがコントロールできないサードパーティのコンポーネントにあるため,どのCVEが実際にアプリケーションに影響を与えるかについてエンドユーザに何らかのコンテキストを提供する機能をメンテナーに与えることができればより良いというものです。

正しくバランスを取り图表のメンテナーとユーザー両方の意思決定を支えるツールとするために,私たちは”缓解笔记と呼ばれる機能を作成しました。ClaireOSやDockerHubなど多くのルがコンテナスキャンを無料で提供しています。しかし,JFrogのChartCenterは1つのビューですべてを容易に閲覧でき,ユーザーが複数バージョンに渡って問題を確認できるUI上に情報が表示される初のツールでした。このことから,組織が图表のセキュリティについてユーザーとやりとりするための方法を提供することが正しいことだと分かりました。

また,この問題をきっかけに执掌图表のメンテナーがChartCenter UI上でユーザーと直接対話できるような新機能を構築することになりました。このソリューションはアプリケーション全体のセキュリティについて,图表のユーザーに透明性を提供し続ける必要があります。このバランスを正しくとる作業は興味深いものでした。中程度,低程度,未知のCVEの詳細をすべて継続的に公開することから始めましたが,高い脆弱性のデータにアクセスできるのはコミュニティユーザーがChartCenterにログインした場合に限られます。

“维护者笔记”の提供

CVEに対する缓解说明を提供するにはsecurity-mitigation.yamlファ@ @ルを使用します。ユザがこれを設定すると,セキュリティタブの各cveの横にアコンが表示されます。

带有缓解注释的ChartCenter

ア电子邮箱コンをクリックすると次のような文章が表示されます:

ChartCenter维护说明

軽減メモとアドバ@ @スの例

ユーザーにこの手のアドバイスを提供することに慣れていない方は手本となる企業がたくさんあることを知っておいてください。これらの企業の多くはコード内のセキュリティ脆弱性を軽減するための独自のプロセスを持っており,サイト上に専用のページやポータルを構築して情報を公開している場合もあります。以下にセキュリティリスクへ対処するために会社標準の軽減勧告を実施している企業の例と,その方針の簡単な概要を示します。これらの例は自社のセキュリティ対策にも利用できます。

Drupal: DrupalのセキュリティチームはDrupalコアやコントリビュートしたプロジェクトで報告されたセキュリティ問題をサイトオーナーに通知するため,セキュリティ勧告の公開アナウンスを管理しています。セキュリティ勧告では開発者が問題を修正するために必要な手順も提供されます。Drupalのセキュリティ勧告のプロセスにいての詳細はこらをご覧ください

マ@ @クロソフト:マaapl . exeクロソフトは悪用可能性aapl . exeンデックスを持っています。セキュリティ更新プログラムに関連する重要度・重大度の高い各脆弱性の悪用の可能性を評価し,毎月のセキュリティ更新プログラムの詳細情報の一部として悪用可能性情報を公開しています。詳細を公開した後に,マイクロソフトが必要だと判断した場合は可利用性指数评估(悪用可能性指標)を変更し,技術的なセキュリティ通知で顧客に通達します。その流れが確認できる例もあります。

ChartCenter缓解YAML

YAMLファイルを記述後は次のバージョンの执掌图表にそのファイルを含めることができます。または掌舵图の所有者であることが確認できれば,直接security-mitigation.yamlファイルをメールで送信することもできます(ユーザーのメールアドレスが图表のリポジトリ情報に含まれていることが確認されます)。

セキュリティ軽減機能では3のユスケスをサポトしています。

  • 作成者が全体またはcve固有の軽減情報を提供できる
  • wikiやウェブペジ上で外部ホストされている軽減情報のウェブサトを作成者が提示できる

外部ホストされたsecurity-mitigation.yamlを作成者が提示できる

ChartCenter安全缓解YAML

描述 类型
总结 适用于所有图表版本的整体缓解摘要 文本
securityAdvisoryUrl 链接指向外部托管的缓解信息,如wiki、网页等。 url
useMitigationExternalFile 真正的意思security-mitigation.yaml托管在其他地方。False表示当前文件的内容表示安全缓解信息。默认值:false 真/假
mitigationExternalFileUrl 如果设置为true,则此参数指向外部托管的urlsecurity-mitigation.yaml url
应对:cf 正在为其提供缓解说明的cve名单。 CVE-YYYY-NNNN
缓解措施:cves: affectedPackageUri 指示为其提供安全缓解措施的包Uri。目前我们只支持两个包uri:

码头工人码头工人:/ / docker.io / bitnami这样/ postgres舵:/ / artifactory

 uri
缓解:cves: affectedVersions SemVer约束聪明人/ semver用于Chart.yaml用于kubeVersion,指定哪些版本应该使用缓解信息。 例如:“> 1.2.x .”
缓解措施:cves:描述 CVE级别的缓解说明。 文本描述

次のステップ

图メンテナ,の方はUIの缓解说明機能を有効にする方法をご覧ください。その後,security-mitigation.yamlファ@ @ルを作成してください。ご質問がある場合はchartcenter@m.si-fil.comまでメ,ルでお問い合わせください。

受欢迎的标签